#ParsedReport #CompletenessMedium
16-01-2025

Operation 99

https://securityscorecard.com/wp-content/uploads/2025/01/Report_011325_Strike_Operation99.pdf

Report completeness: Medium

Actors/Campaigns:
Operation_99 (motivation: financially_motivated)
Lazarus
Dream_job

Threats:
Supply_chain_technique
Payload_99
Main99
Brow99
Mclip
Main5346
Anydesk_tool
Tsunami_botnet

Industry:
Software_development

Geo:
North korean, North korea

IOCs:
Email: 2
IP: 2
Path: 1
File: 19

Soft:
macOS, Linux, chrome

Algorithms:
aes-gcm, pbkdf2, xor, aes, base64

Functions:
Keys

Win API:
CryptUnprotectData

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Lazarus Group, хакерское подразделение, спонсируемое северокорейским государством, проводит продолжающуюся кибератаку под названием Operation 99, целью которой являются разработчики программного обеспечения в области Web3 и криптовалют. Злоумышленники используют обманчивые схемы подбора персонала на таких платформах, как LinkedIn, чтобы обманом заставить разработчиков клонировать вредоносные хранилища, что позволяет красть интеллектуальную собственность, криптовалютные кошельки и другие конфиденциальные данные. Кампания включает в себя сложную многоуровневую систему доставки вредоносного по с модульными компонентами, специализированной полезной нагрузкой и продвинутой инфраструктурой C2, демонстрирующую стратегическое намерение использовать ценные объекты в технологической и криптовалютной отраслях.
-----

The Lazarus Group, хакерское подразделение, спонсируемое северокорейским государством, проводит текущую кибератаку под названием Operation 99, нацеленную на разработчиков программного обеспечения в сфере Web3 и криптовалют.

Операция 99 включает в себя заманивание жертв с помощью обманчивых профилей LinkedIn и поддельных схем найма персонала для клонирования вредоносных репозиториев Git, что приводит к краже данных - исходного кода, секретов, ключей криптовалютных кошельков и другой конфиденциальной информации.

Злоумышленники используют многоуровневую систему доставки вредоносного ПО с модульными компонентами, ориентированными на среды разработки программного обеспечения, для утечки интеллектуальной собственности и прямого хищения финансовых средств.

Кампания использует сложную инфраструктуру командования и контроля (C2), размещенную в Stark Industries LLC, для доставки полезной нагрузки и управления системой, используя запутанные сценарии на Python, чтобы избежать обнаружения.

Злоумышленники используют модульную вредоносную программу-загрузчик под названием Main99 для получения и выполнения специальной полезной нагрузки с сервера C2, обеспечивая постоянные соединения, фильтрацию данных и контроль скомпрометированных систем.

Имплантаты, включенные в кампанию, нацелены на браузеры в системах macOS, Linux и Windows для извлечения и расшифровки сохраненных паролей, используя передовые методы, такие как мониторинг клавиатур и буферов обмена, для передачи данных злоумышленникам.

#ParsedReport #CompletenessLow
16-01-2025

GSocket Gambling Scavenger - How Hackers Use PHP Backdoors and GSocket to Facilitate Illegal Gambling in Indonesia

https://www.imperva.com/blog/how-hackers-use-php-backdoors-and-gsocket-to-facilitate-illegal-gambling-in-indonesia

Report completeness: Low

Threats:
Gsocket_tool
Gs-netcat
Netcat_tool

Victims:
Web servers, Moodle instances

Industry:
Government

Geo:
Indonesian, Indonesia

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1573, T1105, T1547, T1021

IOCs:
File: 2
Url: 1

Soft:
crontab

Languages:
python, php

Links:
https://github.com/hackerschoice
https://github.com/hackerschoice/gsocket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается развитие незаконной деятельности по азартным играм в Интернете в Индонезии и недавняя хакерская кампания, которую обнаружила Imperva Threat Research, нацеленная на веб-приложения на базе PHP. Злоумышленники стремятся использовать уязвимые веб-приложения, в частности, используя инструментарий GSocket для установления безопасных соединений и поддержания работоспособности на взломанных хостах. Злоумышленники используют взломанные серверы для размещения PHP-файлов, перенаправляющих посетителей на индонезийский сайт азартных игр, демонстрируя методы, используемые для обеспечения непрерывности работы в условиях правительственных репрессий. Администраторам веб-сайтов рекомендуется провести аудит своих PHP-серверов на наличие бэкдоров и внедрить проактивный мониторинг и удаление несанкционированных файлов, чтобы повысить безопасность от появления хакеров в сфере онлайн-гемблинга.
-----

Незаконная деятельность по азартным играм в Интернете в Индонезии продолжается, несмотря на репрессии правительства с 1974 года.

Недавний всплеск подозрительной активности, направленной против веб-приложений на базе PHP, использующих ботов на базе Python.

Наблюдались скоординированные усилия по использованию уязвимых веб-приложений, возможно, в ответ на усиление контроля со стороны правительства.

Злоумышленники пытаются использовать GSocket toolkit для установления безопасных TCP-соединений на скомпрометированных серверах.

Экземпляры Moodle были нацелены на компромисс для развертывания GSocket toolkit.

Инструментарий GSocket toolkit обеспечивает сохранение данных на скомпрометированных хостах с помощью различных методов.

Установка GSocket предназначена для доставки PHP-файлов, содержащих контент на индонезийском языке, относящийся к услугам онлайн-гемблинга.

PHP-файлы, предназначенные для перенаправления посетителей на индонезийский сайт азартных игр "pktoto . cc.".

Администраторы веб-сайта рекомендуют провести аудит PHP-серверов на наличие бэкдоров и несанкционированных файлов.

Проактивный мониторинг, регулярные обновления программного обеспечения и надежные меры безопасности имеют решающее значение для защиты от появляющихся хакеров в сфере онлайн-гемблинга.

#ParsedReport #CompletenessLow
16-01-2025

Be wary of overseas APT organizations poisoning GitHub and attacking domestic security practitioners and designated large companies.

https://mp.weixin.qq.com/s/ih36z93y6BazatjeoGjp1A

Report completeness: Low

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike
Harpoon_technique

Industry:
Government, Financial

Geo:
Chinese, China, Asian

ChatGPT TTPs:
do not use without manual check
T1055.012, T1027, T1105, T1102.003

IOCs:
Path: 2
File: 2
Hash: 1
IP: 8

Soft:
Visual Studio

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ целенаправленной кибератаки, проведенной Юго-Восточной азиатской APT-группой "Ocean Lotus" в ноябре 2024 года. В ходе атаки использовались уникальные и скрытые методы, такие как использование скрытого инструмента повышения привилегий, распространяемого через GitHub, и внедрение вредоносного кода в файлы .suo в проектах Visual Studio. Злоумышленник выдавал себя за исследователя в области безопасности, чтобы обмануть жертв, нацеливался на исследователей в области безопасности в Китае и использовал методы взлома библиотек DLL для связи с иностранной платформой для ведения заметок в целях командования и контроля. Ocean Lotus group использовала электронные письма harpoon для атак на правительственные учреждения и предприятия, раскрывая сложную тактику нацеливания и инфраструктуру атак. проанализируйте ресурсы, связанные с этими атаками, с помощью корреляции данных.
-----

В ноябре 2024 года была обнаружена целенаправленная кибератака, приписываемая APT-группе из Юго-Восточной Азии "Ocean Lotus", которая использовала скрытый инструмент повышения привилегий для компрометации личностей и данных специалистов по сетевой безопасности. Атака была связана с распространением плагина для использования уязвимостей Cobalt Strike через GitHub, при этом троянский конь был встроен в файлы .suo в проектах Visual Studio. Этот метод атаки был уникальным и скрытым, что стало первым примером "Ocean Lotus", использующим этот подход.

Злоумышленник, действовавший на GitHub под именем пользователя "0xjiefeng", выдавал себя за исследователя безопасности из ведущей отечественной финтех-компании, чтобы обмануть потенциальных жертв. 14 и 21 октября 2024 года были выпущены два проекта по борьбе с вредоносными программами, нацеленные на исследователей в области безопасности в Китае, которые предлагают новые функции по использованию уязвимостей в подключаемом модуле Cobalt Strike. Вредоносный код запускался, когда жертвы открывали файлы проекта в Visual Studio, загружая и выполняя связанный с ними вредоносный файл .suo.

После запуска компоненты вредоносного ПО были скрыты путем перезаписи и удаления самих себя, что затрудняло их обнаружение. Злоумышленники использовали методы удаления библиотек DLL для выполнения шелл-кода в system xpsservices.dll, обеспечивающий связь с зарубежной платформой для создания заметок Notion для целей управления. Эта стратегия была направлена на то, чтобы избежать сетевого мониторинга и перехвата, внедряя команды в рабочее пространство Notion для обмена данными.

Анализ показал, что Ocean Lotus использовала электронные письма harpoon для атаки на правительственный и корпоративный секторы, расширяя свои возможности для атаки за пределы единого сервера управления (C2) с различными характеристиками отображения портов. Период активных атак организации обычно длился с середины сентября по октябрь, при этом основное внимание уделялось конкретным крупным технологическим компаниям. В ходе атак Ocean Lotus был выявлен высокий уровень целенаправленности, в ходе которых проверялись имена компьютеров-жертв, чтобы убедиться в соответствии с указанными целями.

Weibu Intelligence Bureau успешно идентифицировало учетную запись злоумышленника на GitHub и извлекло IOCs для анализа угроз. Для обнаружения угроз и защиты от них использовались такие основные платформы, как Weibu Threat Perception (TDP) и Threat Intelligence Management (TIP). Кроме того, активы, связанные с атаками Ocean Lotus, были отслежены с помощью сопоставления данных, что позволило выявить сложную тактику организации по нанесению ударов и обширную инфраструктуру атак.

#ParsedReport #CompletenessLow
16-01-2025

The great Google Ads heist: criminals ransack advertiser accounts via fake Google ads

https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

Report completeness: Low

Threats:
Bluesky_ransomware
Cloaking_technique

Victims:
Individuals, Businesses, Taiwanese electronics company

Industry:
Entertainment, Petroleum

Geo:
Brazil, Hong kong, Asian, Paraguay, Taiwanese, Brazilian, Portuguese, Chinese, Asia, China

ChatGPT TTPs:
do not use without manual check
T1566, T1027

IOCs:
Domain: 29
File: 1

Soft:
Gmail

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: аналитики hacker intelligence раскрыли сложную мошенническую операцию, направленную против пользователей Google Ads. Хакеры использовали мошеннические объявления для получения учетных данных, компрометации учетных записей и потенциального финансового ущерба. В ходе операции были задействованы различные вредоносные кампании, имитирующие законную рекламу Google, при этом группы преступников занимались различными вредоносными действиями, такими как фишинг и распространение вредоносных программ. Аналитики подчеркивают необходимость усиления мер безопасности и принятия упреждающих мер со стороны Google для снижения угрозы, исходящей от этих киберпреступников.
-----

Аналитики Hacker Intelligence определили как наиболее опасную изощренную мошенническую операцию, направленную против частных лиц и компаний, размещающих рекламу через Google Ads. Хакеры, стоящие за этой схемой, использовали мошеннические объявления Google для получения учетных данных, что представляет значительный риск для бизнеса Google и потенциально может повлиять на тысячи клиентов по всему миру. Вредоносная реклама выдает себя за Google Ads и перенаправляет жертв на фишинговую страницу, где они получают свои учетные данные для входа в систему.

Аналитики hacker intelligence обнаружили эту подозрительную активность, связанную с аккаунтами Google, и в конечном итоге отследили ее до рекламы самого Google Ads. Мошеннические результаты "спонсорской" рекламы очень похожи на законную рекламу Google, из-за чего пользователям сложно отличить настоящую рекламу от поддельной. Вредоносная кампания разнообразна: рекламные объявления исходят от разных частных лиц и компаний из разных мест, что еще больше усложняет усилия по обнаружению.

При нажатии на мошеннические объявления жертвы перенаправляются на фишинговую страницу, где JavaScript-код захватывает конфиденциальную информацию, такую как уникальные идентификаторы, файлы cookie и учетные данные. Собранные данные тайно передаются хакерам, что позволяет им взломать аккаунты жертв в Google Ads. Впоследствии хакеры могут добавить нового администратора в учетную запись, используя другой адрес Gmail, что позволит им осуществлять несанкционированные действия и потенциально нанести финансовый ущерб жертвам.

Аналитики выявили две основные группы преступников, вовлеченных в эту мошенническую операцию, при этом одна группа, состоящая преимущественно из носителей португальского языка, вероятно, действовала из Бразилии. Жертвы сообщали о получении подозрительных уведомлений о входе в систему от Google, часто из Бразилии, указывающих на попытки несанкционированного доступа. Несмотря на попытки сообщать о мошеннических объявлениях и удалять их, хакерам удалось сохранить постоянное присутствие, запустив по крайней мере одно вредоносное объявление круглосуточно.

Кроме того, была выявлена третья кампания с другой целью, направленная на распространение вредоносного ПО, что указывает на диверсифицированный подход киберпреступников. Аналитики отметили отличительные особенности каждой группы, подчеркнув сложность и адаптивность этих злоумышленников.

Украденные аккаунты Google Ads представляют большую ценность для хакеров, которые используют взломанные аккаунты рекламодателей для финансирования вредоносных рекламных кампаний, способствующих мошенничеству или распространению вредоносных программ. Такая практика не только использует невинных жертв, но и приносит доход Google, что подчеркивает необходимость более строгих мер безопасности для противодействия таким угрозам. Несмотря на то, что пользователям рекомендуется сохранять бдительность, аналитики подчеркивают важность принятия Google упреждающих мер для замораживания скомпрометированных аккаунтов и предотвращения дальнейших вредоносных атак.

#ParsedReport #CompletenessHigh
17-01-2025

MintsLoader: StealC and BOINC Delivery

https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery

Report completeness: High

Actors/Campaigns:
Plymouth

Threats:
Mintsloader
Stealc
Boinc_tool
Warmcookie
Clickfix_technique
Amsi_bypass_technique
Arkei_stealer

Industry:
Petroleum

Geo:
Uzbekistan, Ukraine, Kazakhstan, Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1083, T1059.001, T1562, T1071.001

IOCs:
File: 6
Domain: 60
Hash: 3
IP: 4
Url: 3

Soft:
curl

Algorithms:
sha256, base64, xor

Functions:
Get-MpComputerStatus, Get-Random

Languages:
jscript, powershell, python

Platforms:
intel

Links:
https://github.com/eSentire/iocs/blob/main/MintsLoader/MintsLoader\_Stealc\_01\_14\_2025.txt
https://github.com/eSentire/iocs/blob/main/Stealc/stealc\_hwid.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года была обнаружена кибератака с использованием MintsLoader, загрузчика вредоносного ПО на основе PowerShell. Кампания нацелена главным образом на организации в отраслях электроэнергетики, нефтегазовой промышленности в США и Европе. MintsLoader распространяется через спам-рассылки и использует передовые методы, такие как алгоритм генерации доменов (DGA) и методы противодействия виртуальным машинам, чтобы избежать обнаружения. Он доставляет полезные нагрузки, такие как Stealc, программа-угонщик информации, предназначенная для кражи конфиденциальных данных из браузеров, приложений, криптокошельков и почтовых клиентов.
-----

В начале января 2025 года была обнаружена вызывающая беспокойство кампания с участием MintsLoader, которая предоставляла полезную нагрузку второго этапа, такую как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC). MintsLoader - это вредоносный загрузчик на базе PowerShell, распространяемый с помощью спам-рассылок, которые ведут на страницы Kongtuke/ClickFix или в файл JScript. В нем используется алгоритм генерации домена (DGA), а также методы защиты от виртуальных машин. Примечательно, что эта кампания оказала влияние на организации электроэнергетической, нефтегазовой отраслей в Соединенных Штатах и Европе.

Процесс заражения MintsLoader заключается в загрузке файла JScript с определенным шаблоном регулярных выражений, выполнении команд PowerShell для извлечения этапов и использовании методов обфускации. Stealc, производное от Arkei, - это программа для кражи информации, предназначенная для обработки конфиденциальных данных из веб-браузеров, приложений, крипто-кошельков и почтовых клиентов перед отправкой отфильтрованных данных на сервер управления (C2). Чтобы избежать статического анализа, Stealc использует зашифрованные строки XOR, расшифровывает их во время выполнения и включает в себя подпрограммы защиты от отладки/антианализа. Кроме того, он включает проверки, позволяющие избежать систем с определенными атрибутами, такими как идентификаторы языка, процессорных ядер, памяти и высоты разрешения. Кроме того, Stealc создает идентификатор оборудования (HWID) на основе серийного номера тома диска C:\ для фильтрации украденных журналов и обхода безопасных сред. После генерации HWID с сервера C2 поступает конфигурация в кодировке base64 для фильтрации собранных данных с помощью HTTP POST-запросов.

Кампания MintsLoader представляет собой серьезную угрозу из-за ее скрытого характера, особенно для организаций в Соединенных Штатах и Европе. Она распространяется преимущественно через спам-письма, содержащие ссылку на файл JScript, или через ClickFix/KongTuke. В сочетании с такими похитителями информации, как StealC, кампания усиливается, создавая повышенный риск для конфиденциальности и целостности конфиденциальных данных в этих целевых отраслях.

#ParsedReport #CompletenessMedium
17-01-2025

Sliver Implant Targets German Entities with DLL Sideloading and Proxying Techniques

https://cyble.com/blog/sliver-implant-targets-german-entities-with-dll-sideloading-and-proxying-techniques

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Dll_sideloading_technique
Sliver_c2_tool

Victims:
German citizens, Organizations in germany

Geo:
Germany, German

TTPs:
Tactics: 6
Technics: 6

IOCs:
File: 8
Path: 1
Url: 2
Hash: 4

Algorithms:
exhibit, sha256

Win API:
CryptAcquireContextW, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptDecrypt

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Detect\_malicious\_IPHLPAPI.txt
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detects\_DLL\_SideLoading\_using\_wksprt.exe.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, table: 1, code: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ сложной кибератаки, нацеленной на граждан Германии, с использованием передовых методов, таких как загрузка DLL-файлов, проксирование DLL-файлов и внедрение Sliver для получения доступа, выполнения вредоносных действий и установления контроля над скомпрометированными системами. Атака включает в себя многоэтапную кампанию с использованием вводящего в заблуждение файла LNK, запускающего загрузку вредоносных библиотек DLL для выполнения шелл-кода и развертывания имплантата Sliver, что указывает на эволюцию тактики хакеров по уклонению от обнаружения. Проведенный анализ подчеркивает необходимость усовершенствованных стратегий обнаружения и защиты для эффективного противодействия таким изощренным хакерам.
-----

В тексте описывается подробный анализ кибератаки, нацеленной на граждан Германии, проведенной в рамках кампании, включающей загрузку DLL-файлов, проксирование DLL-файлов и использование имплантата Sliver. Атака начинается с вредоносного файла LNK, встроенного в архив, который, вероятно, распространяется по электронной почте с помощью фишинга. При запуске файл LNK запускает загрузку законных исполняемых файлов, которые загружают вредоносную библиотеку DLL, ответственную за выполнение шеллкода в фоновом режиме. Этот шеллкод расшифровывает и запускает конечную полезную нагрузку - имплантат Sliver, который позволяет хакерам установить связь со взломанной системой для дальнейших вредоносных действий.

В рамках кампании используется архивный файл под названием "Homeoffice-Vereinbarung-2025.7z", содержащий различные компоненты, включая документ-приманку, легальные исполняемые файлы, вредоносные DLL-файлы и зашифрованный DAT-файл. Файл LNK в архиве инициирует атаку, что приводит к созданию каталога с именем "InteI" в локальной папке данных приложения пользователя. В этот каталог копируются законные файлы Windows, а также скрытые вредоносные файлы. Документ-приманка маскируется под соглашение с Министерством внутренних дел, написанное на немецком языке, что указывает на целенаправленный подход к отдельным лицам или организациям в Германии.

Вредоносный DLL-файл с именем IPHLPAPI.dll, загружаемый законным исполняемым файлом wksprt.exe, действует как прокси-сервер для перехвата вызовов функций и выполнения собственного кода при сохранении нормального поведения приложения. Он считывает и расшифровывает кэш-память файла.dat, который содержит шелл-код, ответственный за выполнение имплантата Sliver. Имплантат устанавливает соединения с удаленными серверами, позволяя хакерам выполнять дальнейшие вредоносные операции в системе жертвы.

Хотя эту кампанию нельзя однозначно отнести к какой-либо конкретной хакерской группе, сходство в используемых методах позволяет предположить сходство с предыдущими кампаниями APT29. Примечательно, что использование DLL-прокси в этой кампании означает эволюцию тактики по сравнению с предыдущими операциями, которые приписывались APT29. Эта атака подчеркивает изощренность хакеров в уклонении от обнаружения и необходимость усовершенствованных стратегий обнаружения и защиты для эффективного противодействия таким многоэтапным кибератакам.

Таким образом, в кибератаке, нацеленной на граждан Германии, использовались передовые методы, такие как дополнительная загрузка DLL-файлов, проксирование DLL-файлов и внедрение Sliver для получения первоначального доступа, выполнения вредоносных действий и установления контроля над скомпрометированными системами. Подробный анализ подчеркивает сложность и адаптивность хакерских операций, подчеркивая важность надежных мер кибербезопасности для снижения рисков, связанных с такими изощренными атаками.

#ParsedReport #CompletenessLow
16-01-2025

Threat Bulletin: Weaponized Software Targets Chinese-Speaking Organizations

https://intezer.com/blog/malware-analysis/weaponized-software-targets-chinese

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Pngplug
Valleyrat
Junk_code_technique
Gh0st_rat

Geo:
Hong kong, Taiwan, China, Israel

ChatGPT TTPs:
do not use without manual check
T1055, T1140, T1204, T1027, T1083, T1566, T1129, T1574.009

IOCs:
File: 7
Registry: 1
IP: 2
Hash: 50

Soft:
Windows Installer

Algorithms:
xor

Platforms:
x86

Links:
https://github.com/hasherezade/pe\_to\_shellcode/tree/a2458c96619b721677af0f9b906cd6a229364b4c

#ParsedReport #GeneratedSchema
Generated with GPT-4